SSH 서비스를 표적 삼아 브루트포스 공격...최신 유행인 고 언어로 만들어져
장비 내 모든 데이터 삭제하는 위험한 멀웨어...아직은 미완성이지만 지켜봐야[보안뉴스 문가용 기자] 파괴력 가득할 것으로 보이는 P2P 봇넷이 새롭게 발견됐다. 사물인터넷 장비들의 텔넷 서비스들을 주로 장악하며, 이름은 HEH라고 한다. 중국의 보안 업체 치후360이 처음 발견해 세상에 알렸다. 기존 사물인터넷 봇넷이 장비 자체에는 기능적 영향을 크게 미치지 않은 것에 비해 HEH는 장비 내 모든 데이터를 완전히 삭제하는 기능을 가지고 있다고 한다.
[이미지 = utoimage]
현재 HEH는 서버, 라우터, 그외 여러 사물인터넷 장비에 브루트포스 공격을 실시함으로 퍼져가고 있다. 특히 SSH 포트 23번과 2323번이 인터넷에 노출된 장비들이 주요 공략 대상이다. 멀웨어 자체는 고(GO) 언어로 작성되었고, 감염시킨 장비들 간의 통신은 사유 프로토콜을 통해 이뤄진다. 총 세 가지 요소로 구성되어 있는데, P2P 모듈 하나, 증식을 위한 모듈 하나, 로컬 HTTP 서비스이다.
치후360이 확보해 분석한 샘플들은 악성 셸 스크립트를 통해 다운로드 되어 실행됐다. 특이하게 감염시킨 시스템의 정보를 수집하려는 모습은 보이지 않았다. 대신 여러 가지 CPU 아키텍처에 어울리는 악성 프로그램을 차례대로 설치했다. 스크립트와 바이너리들 모두 한 웹사이트에 호스팅 되어 있었는데, 악성 사이트는 아니었다. 즉 공격자들이 캠페인을 위해 미리 침해해 둔 정상 사이트라는 것이다.
HEH는 장비에 올라타 감염을 진행시킨 뒤에는 먼저 장비에서 진행되고 있는 다수의 서비스들을 종료시킨다. 그런 후에 HTTP 서버를 시작하는데, 이 때 화면에는 ‘세계 인권 선언(Universal Declaration of Human Rights)’이 중국어를 비롯해 7가지 언어로 나타난다. 그런 후 봇넷에 이미 연결되어 있는 피어로부터 다른 데이터를 받아와 기존 데이터들을 덮어 쓴다. 즉 데이터를 삭제한다는 것이다.
치후360은 그 외 다른 기능에 대해서는 특별히 언급하지 않았다. 사물인터넷 봇넷의 가장 대표적인 기능인 디도스 공격, 스팸 및 멀웨어 살포 등이 있는지 없는지 정확히 밝히지 않은 것이다. 그러나 삭제 공격도 실제로 발동될 만큼 구축되어 있지 않다는 점을 지적하긴 했다. 이는 HEH가 아직 개발 단계에 있으며, 따라서 기타 공격 기능이 지금 없더라도 이후 추가될 가능성이 높다는 걸 의미한다.
HEH 봇넷은 최근 등장하고 있는 멀웨어들 사이에서 나타나는 유행을 그대로 따르고 있다. 바로 1) SSH를 표적으로 삼고 있고, 2) 고 프로그래밍 언어로 작성되어 있다는 것이다. 이중 2)번은 이전 사물인터넷 봇넷의 대표 주자였단 미라이(Mirai)를 비롯해 여러 멀웨어들이 C와 펄(Perl), C++로 작성되었다는 것과 특히 차별되는 점이다. 올해만 하더라도 카이지(Kaiji), IRC플루(IRCflu) 등 고 프로그래밍 언어로 만들어진 멀웨어가 꽤 자주 발견됐다. SSH를 통해 구성되는 P2P 봇넷도 최근 들어 자주 등장하고 있다.
보안 업체 트립와이어(Tripwire)의 크레이그 영(Craig Young)은 “공격자들 사이에서 고의 인기가 빠르게 올라가고 있다”며 “흥미롭게 지켜봐야 할 현상”이라고 짚었다. “아직은 주류의 위치에까지 올라가지 못했습니다만 멀웨어 개발자들 사이에서 꾸준히 등장하고 있어요. 젊은 세대 멀웨어 개발자들이 치고 올라오기 때문에 나타나는 현상이 아닐까 합니다. 고는 다양한 모듈의 지원을 받아 강력한 활용이 가능한 언어입니다.”
물론 고 언어를 사용한다고 해서 방어 체계가 완전히 뒤집히는 건 아니다. 기존 솔루션들로도 어느 정도 대처가 가능하다. “다만 고 기반 멀웨어를 탐지할 수 있도록 기존 솔루션들을 업데이트 해야 할 필요는 있을 겁니다. 솔루션 개발사가 얼른 고에 대처할 수 있도록 업데이트를 개발해야 하고, 사용자들을 이를 빨리 적용해야 합니다.”
현재까지 HEH는 그 자체로 커다란 위협 요소는 아니다. “하지만 공격자들이 어느 날 부족한 부분을 보완해 실제 공격에 활용할지는 아무도 예측할 수 없습니다. 갑자기 공사 현장이나 의료 기관의 사물인터넷 장비들이 뚝뚝 꺼질 수 있다는 것이죠. 그러니 이 HEH에 대한 경계심을 늦춰서는 안 될 것입니다.”
3줄 요약
1. 새로운 사물인터넷 봇넷 멀웨어인 HEH 발견됨. 데이터 삭제 기능 가지고 있음.
2. SSH 서비스에 브루트포스 공격하고, 고 언어로 작성되는 등 최신 트렌드 반영.
3. 아직은 개발 중에 있기 때문에 특히 위험하지는 않지만 계속 지켜볼 필요 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=91678&page=1&kind=1)]
